Japonları endişelendiren güvenlik raporu

Japonya’nın başkenti Tokyomakale 2014’ün en mühim siber emniyet konferanslarından birisi olacak ‘CODE BLUE’ için hazırlık yapıyor. Dünyaca ünlü uzmanların yer alacağı konferansta Türkiye’yi temsil edecek olan emniyet araştırmacısı Celil Ünüvermakale Japon yetkililerin yapacağı sunumda emniyet nedenlerinden öcinsü sansür uygulamasını istediklerini belirtti. Ünüvermakale halen Fukuşima’nın yaralarını sarmaya çalışan Japonya’nın kritik altyapı tesislerinin emniyeti için büyük endişe taşıdığını belirtti.

Japonları endişelendiren güvenlik raporuJaponları endişelendiren güvenlik raporu

Japonları endişelendiren emniyet raporu

ABD Başkanı Barack Obama’nın emniyet danışmanı ve ABD İç emniyet Bakanlığı danışmanı Jeff Moss’un da yer alacağı CODE BLUE siber emniyet konferansımakale 17-18 Şubat tarihlerinde Tokyo’da düzenlenecek. Konferansta Türkiye’yi temsil edecek emniyet araştırmacısı Celil Ünüvermakale endüstri tesislerinin kontrolü temsil eden SCADA sistemleri hakkında yapacağı sunumlamakale söz konusu sistemlerde keşfettiği ve devletleri riske sokan emniyet açıklarını gözler önüne serecek.

Japon yetkililer tarafından konferans evvelinde yapacağı sunum hakkında kendisinden bilgi sunması istenen Ünüvermakale sunumunun emniyet riski doğurabileceği gerekçesiyle sansürlenmek istediğini belirtti. Sunumunda bir hayli mühim kısma değinmesi istenmeyen Ünüvermakale bu şekilde çalışmalarının bir mana anlatım etmeyeceğini belirterekmakale mühim tespitlerini ‘hususi olarak sunmaya devam edeceğini’ dedi

Ünüvermakale CODE BLUE konferansı evvelinde Japon yetkililerin sunumu hakkındaki yaklaşımı ve bu durum un altındaki nedenleri ntvmsnbc’ye anlattı:

Konferans hakkında kısa bir ön bilgi verir misin?

Code Bluemakale Japonya’da düzenlenecek milletlerarası bilgi emniyeti konferansını temsil ediyor. Konferansı düzenleyen uzmanların gayesi dünyanın en ünlü uzmanlarını bu konferansta buluşturarak yetişmekte olan emniyet araştırmacılarına katkıda bulunmak ve mühim bilgileri bir araya getirmek. Japonlar bugün siber emniyet altyapılarında 80 bin benlik bir iş gücü eksiği olduğunu belirtiyor. Japonlar yeni uzmanların yetiştirilmesinde milletlerarası konferanslara büyük ehemmiyet veriyor.

Yapacağın sunum hakkında bilgi verir misin?

Benim sunumum nükleermakale elektrik santralleri gibi muhtelif kritik altyapılarda kullanılan SCADA yazılımlarının emniyeti hakkında. Sunumumun başlığı “SCADA Software or Swiss Cheese Software”makale başka bir deyişle “SCADA Yazılımı yahut İsviçre Peyniri Yazılımı.” Bu anlatım ylemakale SCADA yazılımlarının İsviçre peyniri gibi ‘delik-deşik’ olduğuna dikkat çekerkenmakale kendi bulduğum ve Amerikan milli emniyet Bakanlığıyla organize çalışarak yamadığımız emniyet açıklarına değineceğim.

‘BİLGİLERİ ÖZEL OLARAK PAYLAŞACAĞIM’

Pekimakale Japonları bu aşamada endişelendiren ne oldu ?

Japonlar sunumumun dosyasını evvelden incelemek istediler zira içerisinde barındırdığı bilgilerin çok kritik olabileceğini düşündüler. Dosyamı kendilerine ilettim ve inceledikten sonra sunumda bahsettiğim SCADA yazılımlarının Japonya’da da kritik altyapılarda kullanıldığını söylediler. Sunumumda henüz yaması olmayan bazı emniyet açıkları da olduğu için bunun Japonya’da büyük hasarlara neden olabileceğini düşündüler.

Ne gibi tesisler olduğuna değin belli ad ler verdiler mi? direk nükleer tesisler yer alıyor mu yahut bu tesisler arasında?

direk ad vermediler yalnız nükleer tesislerin de bu yazılımları kullandığını belirttiler. Dolayısıyla şayet konferansta kötü niyetli zat yahut zatler bulunursa anlattığım bilgiyi kötü amaçla Japonya’ya zarar vermek için kullanabilir diye korktular. Bu endişelarını ilettikten sonra da sunum dosyamdaki bazı sayfaları ‘maskelememi’ makale kısaca kritik teknik detayları gizlememi istediler.

Tam olarak nasıl bir ‘kırpma’ istediler?

Sunumda bahsedeceğim yaması mevcut olmayan zafiyetlerin detaylarını katiyen gizlememi istediler. Bunun haricinde konferansa katılanları ve (basın da orada olacağı için) toplumu korkuyamakale endişeye sürüklememek adına başka paylaşacağım açıkların da nasıl yamanacağı ve kapatılacağı hakkında mutlaka bilgi vermemi istediler.

Sen Japonya’nın bu cins bir tehdit altında olduğuna inanıyor musun?

Evetmakale açıkçası endişeleri gayet yerinde ve gerçekçi. Ben zatsel olarak bilimin gelişmesi için bilginin özgür olmasına inansam da maalesef bu sistemler insanlar için tehdit oluşturabiliyor. Bu yüzden endişe duymakta haklılar. Üstelik yalnızca birkaç sene evvel Stuxnet yazılımıyla İran’daki nükleer faaliyetlerin durdurulduğu örneğini herkes hatırlıyor.

Japonlara duygulu oldukları bir dehemmiyetde en çok kim zarar vermek isteyebilir?

Çin ve Rusya bu usul siber sabotajlarda bulunabilir. Üstelik Çin ve Japonya arasındaki tarihi kavgamakale Çinlileri bu mevzuda bu cins bir olasılıkta bir ismim öne çıkarıyor.

Senden istenen talebi yerine getirmen sunumunu nasıl bir hale sokacak?

Açıkçası onlar teknik detayları gizlesem de sunumumun zevk toplayacağını düşünüyor. yalnız ben bu detayları gizleyince sunumumun dşayet ini kaybedeceğine inanıyorum. Çünkü insanlar bu konferansa genelde teknik detay dinlemek için geliyor. Ben ise mecburen pek fazla teknik detay verememiş olacağım.

İstediğin detayları verirsen Japonların bahsettiği tehdit edici durum ortaya çıkacak mı?

Açıkçası sunuma katılacak zatleri gizlilik soruşturmasından geçirmeyecekleri için böyle bir tehdit riski her vakit mevcut

Japonları endişelendiren güvenlik raporuJaponları endişelendiren güvenlik raporu

Türk emniyet araştırmacısı Celil Ünüver.

‘TÜRKİYE SCADA SİSTEMLERİNDE GERİDE KALDI’

Nasıl orta nokta bulacaksınız? Konferanstan çekilmeyi düşünüyor musun?

Hayırmakale konferanstan çekilmeyi düşünmüyorum. Kimseyi sıkıntıya sokmayacak şekilde sunumumu biraz kırpacağım yalnız teknik detayları öğrenmek isteyen müessesesel (devlet kuruluşları vb.) katılımcılarla bilgileri hususiden paylaşabileceğimi belirteceğim.

Sunumu yapacak olsan da bu hususi paylaşım konusuna Japonlar ne diyecek sence ?Haberleri olacak mı paylaşabileceğinden?

Evetmakale kendilerinden onay alacağım bu hususi paylaşım için. yalnızca devlet kuruluşları ve saygın şirketlerde çalışanlarla paylaşmamdan onlar da sakınca duymayacaktır.

Vereceğin bilgiler Japonya başta olmak üzere kritik tesislerin emniyetinde devletlere neler kazandıracak ?

Devlet kuruluşları bu sistemlerin gerçekten İsviçre peyniri gibi delik deşik olduğunun farkına varacaklar. Aynı vakit da sunumumda eski SCADA açıkları için yayınlanan yamaların nasıl bypass edildiğini de anlatacağım. Bu da müstahsil firmaların yamalarına güvenerekmakale güvende kalamayacaklarını gösterecek. Güvende kalmak için defansta kalmaktansamakale erken ikaz ve istihbarat gibi agresif güvenliğe yatırım yapmaları gerektiğini anlayacaklar.

Türkiye bu gelişmelerin neresinde? Kritik tesislerimiz iyi korunuyor mu? Konferansları ne kadar yakından takip ediyoruz?

Maalesef Türkiye’deki emniyet sektörü çalışanlarının bir çoğu yurtharicindeki konferanslara konuşmacı ya da dinleyici olarak katılmıyor. Bu durum da kuruluşların konferans katılımı için çalışanlarına bütçe ayırmaması da büyük bir faktör Dolayısıyla gelişmeleri çok geriden takip eden bir sektörümüz mevcut . Henüz network emniyeti gibi konular dahi yeterince ülkemizde oturmamışkenmakale SCADA emniyeti çok spesifik olduğu için kuruluşlar da bu yazılımların yeterince farkında değil. Dolayısıyla Türkiye’deki kritik tesislerde bu mevzuda oldukça zayıf diyebilirim.

Jeff Moss’un konferansa katılımının ehemmiyeti ne sence?

Prestij açısından oldukça mühim . Jeff Moss sektördeki bir hayli emniyet uzmanının sevdiği bir ad . DEFCON ve BLACKHAT gibi ünlü hacker konferanslarının kurucusu aynı vakit da. Obama’nın Siber emniyet Danışmanlığını yapmış olması da ününü artırıyor.
Kaynak:ntvmsnbc

loading...

Yorumunuzu Bırakın